Рубрика «IT безопасность»

Использование утилиты tcpdump

Thursday, 03 Sep 2009

Tcpdump чрезвычайно удобный сетевой анализатор, очень помогающий в работе как сетевым администраторам, так и безопасникам. Естественно что для получения максимальной информации при работе с tcpdump, просто необходимо иметь представления о стеке протоколов TCP/IP. Для удобства можно использовать более удобные и интеллектуальные программы, например Wareshark, но часто возникают ситуации когда на тестируемую машину не представляется возможным установить дополнительные сервисы, и тогда tcpdump просто незаменим, не будит же админ, ради анализа пакетов, ставить на unix’овый сервак X-Windows ;) тем более что в большинстве unix’овых систем, утилита tcpdump идет по умолчанию.

Понимание протокола TCP/IP дает широкое пространство для использование анализатора и устранения неисправностей и неполадок в работе сети, за счет разбора пакетов. Поскольку оптимальное использование данной утилиты требует хорошего понимания сетевых протоколов и их работы, то получается забавная ситуация, в которой инженеру в любом случае необходимо знать и понимать механизмы передачи данных в сети. т.ч. tcpdump полезна во все отношениях: как устранения неисправностей, так и самообразования.
(more…)

VN:F [1.9.21_1169]
Rating: 8.6/10 (18 votes cast)
VN:F [1.9.21_1169]
Rating: +10 (from 16 votes)

Борьба со спамом в MTA EXIM на основе ACL

Saturday, 29 Aug 2009

Как говорят знающие люди, хуже спама может быть только борьба со спамом. Но тем не менее с тем ужасным потоком, что обрушивается на незащищенного пользователя, необходимо что то делать, т.к. иначе конечному пользователю приходится тратить часы на разборы тех словесных завалов, что валятся ему в ящик.
Можно сколь угодно долго рассуждать относительно этичности использования RBL листов, но внедрение их автоматически снижает нагрузку спама в разы, тем более что для рассылок последнее время очень часто используются бот-сети, полностью иммулирующие нормальное соединение.
(more…)

VN:F [1.9.21_1169]
Rating: 5.0/10 (2 votes cast)
VN:F [1.9.21_1169]
Rating: +4 (from 4 votes)

Смена порта SSH-сервера как мера безопасности

Wednesday, 26 Aug 2009

Если заглянуть в логи, пожалуй любого SSH-сервера, то вы там однозначно увидите массу попыток установления соединения, брутфорсов, переборов имен пользователей и прочую муть. И все это происходит постоянно, час за часом, изо дня в день. Для себя я эту проблему решил уже довольно давно, используя по настроению порты свыше 1024.
В этой связи встает вопрос, что даст смена стандартного порта?

Можно провести небольшой опыт задав в конфиге сервера sshd_config несколько значений для сервиса:
Port 22
Port 28356

а в фаервольных правилах
-A INPUT -i eth0 -m tcp -p tcp –dport 22 -j LOG –log-level 7 –log-prefix “Logged port 22 ”
-A INPUT -i eth0 -m tcp -p tcp –dport 28356 -j LOG –log-level 7 –log-prefix “Logged port 28356 ”

после чего оставить силки открытыми на какое то время, с тем, чтобы посмотреть результаты манипуляции позже..

***  Обновление от 27.08:  за 12 часов, прошедших с момента реконфига сервера, правда путем внесения изменений в ipfilter , произошло 1335 попыток подключения на 22 порт и ни одной попытки на 28356 порт.

Эти цифры наглядно демонстрируют то факт, что единицы злоумышленников ищут демонов на не стандартных портах, причем попытка найти демона на порту, отличном от стандартного, с большой вероятностью будет осуществляться за счет сканирования, которое можно предотвратить за счет использования IPS или же сервиса Port Sentry. Следовательно, в случае обнаружения уязвимости сервера SSH типа zero-day шанс того, что эксплоит будет использован против сервиса крутящегося на нестандартном порту,  в тысячи раз ниже чем против сервисов использующих стандартные значения.

Хакеру гораздо проще и быстрее найти сотни демонов использующих стандартный 22 порт, чем морочиться с системой, где порт теряется в десятках тысяч неиспользуемых портов.  Из чего следует, что простейшая процедура может повысить безопасность вашего сервиса на порядки.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Суд над китайскими пиратами

Tuesday, 25 Aug 2009

Китайский суд признал виновными и заключил под стражу команду создавшую пиратскую версию операционной системы Windows XP `Tomato Garden’, которая нелегально распространялась через небольшие он-лайн аукционы и по различным пиратским каналам в Великобритании. Исходя из заявлений информационного агентства Xinhua это была самая крупная пиратская схема за всю историю страны.
Hong Lei, создатель распространяемой версии “Tomato Garden Windows XP”, получил 3.5 года заключения; еще один подельник получил аналогичный срок и два участника цепи передачи получили по 2 года.
Версия операционной системы Windows XP Tomato Garden пожалуй одна из самых широко распространенных пиратских версий операционных систем. В ней были удалены аутентификационные и сертификационные барьеры, препятствующие доступу пользователей к популярным продукта Microsoft.
По было доступно для скачивания на сайте tomatolei.com, который открылся в 2004 году, по началу зарабатывал только на рекламе, размещаемой на сайте. Позднее дистрибутив был изменен и продавался на территории Европы, Англии и США.
Судебное преследование команды было начато на фоне многочисленных заявлений западных деятелей о том, что на территории Китая борьба с пиратством неэффективна и более походит на профанацию идею защиты интеллектуальной собственности, и после того как в июне месяце организация Business Software Alliance направила официальное обращение к китайскому правительству, которое и вынудило принять меры по поиску и аресту создателей пиратского диструбутива.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Motorola и безопасность беспроводных сетей

Tuesday, 25 Aug 2009

Компания Motorola представила пакет, который, по заверению разработчиков, предлагает про-активную защиту для Wi-Fi сетей. Этот пакет является надстройкой продукта AirDefense и будучи сканером уязвимостей, проводит серию хакерских атак на каждое беспроводное устройство представленное в беспроводной сети wi-fi, или же на сегмент сети.
Программное обеспечение разработано для про-активной защиты безопасности беспроводных сетей, и со слов представителей компании Motorola, может быть настроено для удаленного управления, с целью анализа безопасности сетей удаленных офисов и филиалов.
Благодаря этому функционалу, компании нет необходимости посылать инженеров, для проведения подобных тестов в удаленные филиалы.
После завершения тестов, пакет выстраивает базу имеющихся уязвимостей, которая может быть использована аудиторами и системными администраторами в их дальнейшей работе, для понимания потенциальных рисков которые несет использование беспроводных сетей wi-fi.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Установка Port Sentry

Friday, 21 Aug 2009

Если поглядеть логи доступа любого сервера, каким либо боком торчащего в интернет, то обнаружится, что атаки по портам излюбленная тематика интернет-фриков, которые по-видимому могу круглосуточно шакалить в поиске какого нибудь, криво сконфигурированного сервера. Естественно, что предотвращению этих угроз служат полноценный IPS модули и сервера, но в большинстве своем они являются платными решениями, а т.к. нас интересует по возможности халявные продукты, то при настройке файервола или какого либо инет-сервера, я прикручиваю Port Sentry, некий аналог IPS, систему по обнаружению сканирования портов.

Интерактивная защита позволяет отнести систему к IPS, т.к. система поддерживает: обнаруживает почти все известные типы сканирования: TCP connect(), SYN/half-open, Null, XMAS и многое другое; позволяет настроить свой механизм работы таким образом, что при обнаружении сканирования путем запуска произвольного скрипта может блокировать атакующего по IP, или отправлять его в т.н черные дыры; ведет логирование всех попыток установления соединения.

(more…)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: -1 (from 1 vote)

И снова о проблематике спам потока

Thursday, 20 Aug 2009

Эффективность, производительность, доходность- вот несколько факторов которые находятся под ударом такого явления как спам. Ежедневная расчистка авгиевых конюшен почтового ящика, в поиске единиц необходимых сообщений в неиссякаемом потоке мусорных писем сжигает время и силы работников. Потоки спама забивают каналы передачи данных и расходуют средства на счетах провайдеров, падает производительность почтовых серверов, в связи с ежесекундной необходимостью обрабатывать огромные потоки информации для того чтобы вычленить из них крупица здравого смысла.
(more…)

VN:F [1.9.21_1169]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)